| Qui est en ligne ? |
| Il y a : 13 utilisateurs en ligne, consultez le détail |
Forum » Serveur, Réseaux et Programmation » Protéger son PC des intrusions |
Forum modéré par : jblecanard |
| Même auteur |
|
Score ( voter ) : |
|
 |
| Page : [1] |
| Auteur | Message |
|---|---|
 |
|
Jedi  Forum : Modérateur Association : Membre fondateur Arrivé(e) le : 08-01-2005 Nombre de messages : 4030 |
Bonjour à tous Je rencontre des soucis avec la protection de mon PC. Ferme les ports etc... J'utilisais avant guardog. Ne sachant pas trop ce qu'il bricolait, et comme en plus il bloquait trop de choses ou pas assez, j'ai utilisé le script de kernel. Regardant mes stats avec iptraf, je constate que, serveur web éteint, il y a du traffic sur mon interface réseau. 2 bkits/s en moyenne d'entrée et de sortie ??? J'essaye donc ce script http://www.c-sait.net/affiche_script.php?script=tian_firewall qui m'a l'air plus simple. Cette fois, plus de taffic en sortie, sauf si j'en réclame. Par contre, toujours 1 ou deux kbit/s en entrée. J'ai donc trois questions. 1 - Quelles sont toutes ces IP qui se connectent sur mon PC, qui plus est sur des ports exotiques comme 46123 ou 76894, qui changent sans cesse, chaque IP ne restant pas connectée bien longtemps. Je veux dire, quelle genre de personnes ou de logiciel peut bien se retrouver à se connecter sur ma machine comme ça ? 2 - Quelle sont donc ces paquets qui sortent quand le firewall n'est pas activé ? Des requêtes extérieures ? Ethereal peut il m'aider ? Je ne sais pas trop interpréter les masses de données qu'il fournit. 3 - Comment me protéger efficacement ? Est ce qu'un paquet doit forcément être entré avant d'être ignoré ? Comment interdire ces connexions batardes dont je ne veux pas ? --Message édité par jblecanard le 23-02-2007 à 20:48:07-- ------------------------------------- C'est une situation bien inconfortable que d'être assez sensible à la bêtise pour en souffrir et trop intelligent pour s'en indigner. - Gustave Thibon - |
|
|
|
|
|
Hobbit Forum : Inscrit Association : Arrivé(e) le : 08-06-2004 Nombre de messages : 1239 |
Salut, alors : 1) Surement juste des mecs qui te scannent, et testent si t'es sensible à des failles connues, à l'occasion. N'y vois rien de personnel, t'es juste dans la plage d'ip du jour. 2) Oui ethereal peut t'aider ! Et il s'appelle Wireshark maintenant. Normalement ce qu'il t'affiche est assez clair, mais si tu ne comprend pas enregistre le dump et file le nous, on le regardera pour toi  Tu peux aussi t'amuser avec netstat pour voir les connexions ouvertes.3) Déjà voir si t'a de vrais fuites, et réparer ça le cas échéant. Ensuite tu ne pourra pas empecher les scans sauvages, mais une bonne config d'iptables pourra les rendre inopérants. --Message édité par Kangourou le 23-02-2007 à 20:59:48-- |
|
|
|
|
|
|
Jedi Forum : Modérateur Association : Membre fondateur Arrivé(e) le : 08-01-2005 Nombre de messages : 4030 |
Bon j'ai un peu de nouveau. Selon wireshark, la grande majorité des paquets sont en prtocole ARP. http://wiki.wireshark.org/AddressResolutionProtocol?action=show&redirect=Protocols%2Farp Je n'ai pourtant aucun client de messagerie instantanée connecté. Apparemment, j'ai des fuites en utilisant le firewall de Kernel. Faudrait-t-il le réviser ? Je n'ai pas encore analysé les fuites en question. Mon netstat semble assez propre : [root@myriam canard]# netstat -lapute Active Internet connections (servers and established) Proto Recv-Q Send-Q Local Address Foreign Address State User Inode PID/Program name tcp 0 0 *:6000 *:* LISTEN root 7375 3555/X tcp 0 0 *:6000 *:* LISTEN root 7374 3555/X tcp 0 0 *:ssh *:* LISTEN root 6410 3048/sshd udp 30912 0 *:bootpc *:* root 6358 3028/dhcpcd Donc j'en reviens à ce qui me tracasse. Que des mecs essayent de se connecter et qu'ils se fassent envoyer péter, c pas ça qui va me gêner. Mais est ce que cette procédure coûte un peu en traffic ? Si c'est le cas, le problème est réglé. Reste à analyser les fuites du côté du script firewall de la banque de script. --Message édité par jblecanard le 23-02-2007 à 21:12:00-- ------------------------------------- C'est une situation bien inconfortable que d'être assez sensible à la bêtise pour en souffrir et trop intelligent pour s'en indigner. - Gustave Thibon - |
|
|
|
|
|
|
Jedi Forum : Modérateur Association : Membre fondateur Arrivé(e) le : 08-01-2005 Nombre de messages : 4030 |
Voilà un fichier de dump quand le script de Kernel est activé : http://thewhiteduck.lesgeorges.org/data/reseau_pas_bo.dump On y voit des paquets TCP, UDP, DHCP... qu'il n'y a pas avec l'autre script. Le netstat est propre par contre ! Ce script a un défaut certain : lorsqu'il est activé, le port en écoute de mon client BitTorrent fonctionne toujours et le client est content. Ce doit être le cas avec d'autres ports ! Avec l'autre script, il me faut ouvrir explicitement ce port, sans quoi pas content BitTorrent ! Edit : A noter tout de même, la simple ouverture de ce port entraîne un peu de traffic en sortie, même si mon client est éteint. --Message édité par jblecanard le 23-02-2007 à 21:55:47-- ------------------------------------- C'est une situation bien inconfortable que d'être assez sensible à la bêtise pour en souffrir et trop intelligent pour s'en indigner. - Gustave Thibon - |
|
|
|
|
|
|
Hobbit Forum : Inscrit Association : Arrivé(e) le : 08-06-2004 Nombre de messages : 1239 |
Quand je veux acceder à ton dump  Pour le script, je sais pas, moi je suis un peu allergique à la syntaxe d'iptables Mais je ne pense pas que tu ai de vrais problèmes. Pour les requetes ARP, c'est normal aussi. De qui viennent t'elles, et qui demande t'elles ? |
|
|
|
 |
|
Jedi Forum : Modérateur Association : Membre fondateur Arrivé(e) le : 08-01-2005 Nombre de messages : 4030 |
J'ai donné les droits sur le fichier de dump. Il est téléchargeabble à présent. Peut être peut tu m'aider à identifier le "coupable". ------------------------------------- C'est une situation bien inconfortable que d'être assez sensible à la bêtise pour en souffrir et trop intelligent pour s'en indigner. - Gustave Thibon - |
|
|
|
|
|
|
Hobbit Forum : Inscrit Association : Arrivé(e) le : 08-06-2004 Nombre de messages : 1239 |
C'est la fête sur ton réseau dis donc ! Comment est branché ta machine ? Directement par modem sur le net ? Et quelle etait ton adresse ip au moment du dump ? Et l'adresse MAC de ta carte réseau ? En tout cas je comprends pas pourquoi tu vois pleins de paquets qui on a priori rien à voir avec toi  Et ya aussi toutes les requêtes ARP, c'est toujours la même carte réseau physique qui demande, mais elle change plusieurs fois d'adresse IP... --Message édité par Kangourou le 23-02-2007 à 23:35:31-- |
|
|
|
|
|
|
Jedi Forum : Modérateur Association : Membre fondateur Arrivé(e) le : 08-01-2005 Nombre de messages : 4030 |
Bien on avance tout doucement. j'ai eu l'idée de faire des whois sur quelques adresses IP de la fameuse Cisco qui m'envoie des requêtes. La carte en question n'est en effet pas la mienne, puisque les adresse MAC sont différentes. Edit : je suis branché avec un modem numéricâble directement. Mon IP est fixe et donc j'ai pas envie de la poster, mais elle n'apparaît pas dans les infos données par wireshack. Après les whois donc,je constate que tous répondent au rôle de "NUMERICABLE ADMINS". Il s'agit de mon fournisseur d'accès ! Reste plus qu'à leur écrire pour connaître l'origine de ces requêtes répétées. Edit : Ces messieurs ne peuvent recevoir de demande de support pour le moment en raison d'un problème technique. Ben voyons. --Message édité par jblecanard le 24-02-2007 à 00:17:03-- ------------------------------------- C'est une situation bien inconfortable que d'être assez sensible à la bêtise pour en souffrir et trop intelligent pour s'en indigner. - Gustave Thibon - |
|
|
 |
| Page : [1] |
Forum » Serveur, Réseaux et Programmation » Protéger son PC des intrusions |
Forum modéré par : jblecanard |
| Même auteur |
|
Score ( voter ) : |
|
- Petit scarabée : 0 pastille, moins de 100 messages
- Scarabée : 0 pastille, plus de 100 messages
- Hobbit : 1 pastille, plus de 1000 messages
- Naboo : 2 pastilles, plus de 2000 messages
- Elfe : 3 pastilles, plus de 3000 messages
- Jedi : 4 pastilles, plus de 4000 messages
- Maître Jedi : 5 pastilles, plus de 5000 messages